Таковы данные исследования ООО "УЦСБ" и ГК "Солар", которое компании провели весной 2026 г. В нем участвовали 102 компании из сферы телекоммуникаций, промышленности, финансов, госсектора, энергетики, транспорта, логистики, торговли, медицины и строительства.

ИБ-аналитики сделали вывод, что, несмотря на возможные риски, 32,2% российских компаний не контролируют использование ИИ и не предъявляют требования информационной безопасности к таким продуктам.

Как сделать использование ИИ в разработке безопаснее

50,5% опрошенных компаний разрешают использовать генеративный ИИ в разработке только в ограниченном формате. Это могут быть ИИ-сервисы, развернутые в собственном контуре с соблюдением внутренних требований кибербезопасности.

Также аналитики выяснили, что 86,9% организаций положительно оценивают внедрение специализированной закрытой или дообученной большой языковой модели (LLM) внутри собственного контура для оценки уязвимостей, автоматического исправления кода и анализа безопасности. Больше половины (61,6%) готовы к внедрению при доказанной эффективности и защищенности решения, 25,3% считают это необходимым уже сейчас,13,1% - предпочитают традиционные инструменты.

Однако, по словам руководителя направления безопасной разработки УЦСБ Евгения Тодышева, поставить модель внутри ИТ-периметра для устранения всех ИБ-рисков недостаточно. "В приоритете должна быть безопасность на уровне процессов: четкие политики с описанием задач применения ИИ, автоматические проверки кода и регулярное обучение команд. Кроме того, без постоянной подпитки свежими данными об уязвимостях закрытая LLM не сможет распознавать новые типы атак и не предупредит о трендовых рисках. Таким образом, ИТ-рынку нужны методики, которые обеспечивают непрерывную актуализацию модели, чтобы она развивалась в управляемом контуре с гарантиями безопасности", - отметил Евгений Тодышев.

https://www.comnews.ru/content/245432/2026-05-22/2026-w21/1008/pochti-polovina-rossiyskikh-kompaniy-ne-tratyatsya-zaschitu-ii

Согласно исследованиям безопасности приложений "Солара", в 75-80% массовых цифровых сервисах содержатся критичные уязвимости, которые могут приводить к утечкам конфиденциальной информации пользователей.

Некоторые компании используют ИИ для анализа уязвимостей в программном обеспечении. Авторы исследования говорят о том, что организации, которые используют публичные LLM и ML-модели для поиска вредоносного кода, сталкиваются с рисками утечки данных, накопления уязвимостей в ИИ-коде, нераспознаваемые публичными ИИ-сервисами для оценки уязвимостей.

"Зачастую ИИ-сервисы анализируют код как последовательность действий (токенов), а не как логику. Это поиск совпадений с шаблонами, а не детальный анализ потоков данных и семантики кода. Такой подход дает много ложных срабатываний и пропускает сложные уязвимости. Более того, на этапе триажа публичные LLM-модели пропускают от 40% до 50% уязвимостей в коде", - сказал руководитель отдела развития бизнеса ПО Solar appScreener Владимир Высоцкий.

Представители ИТ-компаний подтвердили, что при использовании ИИ для написания и проверки кода появляются новые риски кибербезопасности. Владелец продукта по безопасности ИИ ООО "Юзергейт" (UserGate) Светлана Газизова отметила, что ИИ может генерировать небезопасный код: "Также ИИ может рекомендовать небезопасные библиотеки, устаревшие зависимости или даже несуществующие пакеты, что создает дополнительные угрозы для процесса разработки. Кроме того, могут происходить атаки на сам процесс разработки через промпт-инъекции".

"Отдельная проблема в том, что ИИ может предлагать внешне корректные решения, не учитывая особенности конкретной системы: архитектурные ограничения, требования регуляторов, внутренние стандарты компании и контекст бизнес-процессов", - считает технический директор ГК "Корус Консалтинг" Виталий Секретенко.

Но главный риск, по мнению ведущего эксперта отдела разработки и тестирования ООО "Код безопасности" Александра Самсонова, - утечка кодовой базы продуктов компании. "При использовании ИИ-агентов код проекта передается на внешние серверы. Но в дальнейшем компания-пользователь не может проконтролировать, как код используется на этих серверах. Например, его могут использовать для обучения моделей в интересах разработчика или проанализировать на предмет уязвимостей и особенностей работы, чтобы в дальнейшем использовать для своих целей", - объяснил Александр Самсонов.

При этом он считает, что закрытый корпоративный сервис, развернутый on-premise без взаимодействия с внешними сервисами, может быть решением проблем с потенциальными утечками. Однако минусы такого подхода в том, что развертывание передовых моделей в инфраструктуре стоит очень дорого.

Виталий Секретенко также считает, что закрытый корпоративный ИИ способен существенно снизить риск утечки, но сам по себе он не гарантирует безопасность. Об этом же заявил руководитель отдела технического пресейла ООО "АйТи Таск" (IT Task) Михаил Тимаев. "Важнее выстроить процесс: определить, какие задачи можно доверять ИИ, какие данные нельзя передавать модели, а также сохранить обязательные проверки кода и контроль со стороны специалистов", - сказал Михаил Тимаев.

"Для безопасного внедрения ИИ точно нужен комплексный подход: политика использования ИИ в разработке и в компании в целом, контроль передаваемых в модели данных, автоматическое выявление секретов и чувствительной информации, обязательные процессы Code Review и Security Review, использование SAST, SCA и других средств анализа безопасности, контроль действий ИИ-ассистентов и используемых ими инструментов, а также обучение сотрудников безопасной работе с ИИ", - сказала Светлана Газизова.

Компании стали активнее использовать ИИ в разработке

Несмотря на риски кибербезопасности, компании в последние годы стали активнее использовать ИИ в разработке. По данным ICT.Moscow, 80% российских разработчиков применили вайб-кодинг в своей работе в 2025 г.

То, что использование ИИ в разработке становится все более распространенной практикой в России и мире, подтвердили представители ИТ-компаний. ИИ помогает сократить время за счет автоматизации рутинной работы разработчика. "Использование ИИ в разработке фактически становится частью инженерной практики. На наш взгляд, это не временный тренд, а очередной этап эволюции отрасли", - сказал Виталий Секретенко.

По словам Светланы Газизовой, ИИ в разработке помогает с генерацией шаблонного кода, написанием тестов, подготовкой документации, анализом логов, поиском причин дефектов и первичным выявлением уязвимостей.

Светлана Газизова утверждает, что генеративный ИИ позволяет сократить сроки разработки даже учитывая, что нужно время для проверки результата. "Тестирование кода на безопасность в любом случае является стандартом де-факто корректного подхода к созданию программных продуктов, - сказала Светлана Газизова. - Наиболее эффективный сценарий выглядит следующим образом: ИИ выступает в роли джун-разработчика, который быстро готовит черновик, а инженер выполняет роль эксперта и архитектора, принимающего окончательные решения. В результате специалисты тратят меньше времени на рутинную реализацию и больше на архитектуру, бизнес-логику и контроль качества".

https://www.comnews.ru/content/245872/2026-06-18/2026-w25/1008/doveryay-no-proveryay-biznes-stal-aktivnee-ispolzovat-vayb-koding